Risiko Netzwerk – Teil 2: Da liest wer mit!

Es gibt viele Arten, an Informationen zu gelangen, doch kaum eine ist so effektiv, wie auch zugleich meist völlig „lautlos“, wie das Sniffen, also das Mitlesen von Kommunikationsinhalten in einem Netzwerk. Dabei bekommt der Anwender nichts mit – und oft nichtmal die interne IT des Unternehmens, da im Prinzip nur Daten eingelesen und unverändert wieder ins Netzwerk eingekippt werden.


Als Sniffer bezeichnet man ein Programm (oder ein Gerät), welches den Netzwerkverkehr abhört, protokolliert und in einer auswertbaren Form wiedergibt. Klar, einige von Euch werden jetzt denken „Ich habe nichts zu verbergen.“ oder „Sollen sie mal mitlesen…“ – doch das ist die falsche Einstellung! Gefährlich sind Sniffer vor allem beim Austausch von unverschlüsselten Nachrichten, die sensible Informationen wie Passwörter, Kreditkartennummern und weitere vertrauliche Daten enthalten. Aber auch verschlüsselte Nachrichten können „ersnifft“ werden – sie müssen nur vorher entschlüsselt werden, was je nach Szenario oft einen zu hohen Aufwand mit sich bringt und so würde oft die Kosten-Nutzen-Rechnung eines Angreifers nicht mehr aufgehen und die Gefahr ist unter Umständen größer, entdeckt zu werden, da das Verschlüsseln je nach Stärke und Art der Verschlüsselung einiges an Zeit in Anspruch nehmen würde.
Sniffer nutzen den Promiscuous Mode einer Netzwerkschnittstelle und empfangen so alle auf dem Netz übertragenen Daten, egal für wen diese bestimmt sind. Weder Sender noch Empfänger bekommen etwas von dieser Art von Spionage mit. Umso wichtiger ist es, dies nach Möglichkeit zu unterbinden.
Sicherheitsmaßnahmen: 
Bin ich machtlos ausgeliefert oder gibt es Wege, das Sniffen zu verhindern oder zumindest zu erschweren? Was kann ich dagegen tun?
Vertrauliche Daten wie z.B. Kennwörter sollten ausschließlich über verschlüsselte Verbindungen übertragen werden (Protokolle: https, ssh). Durch sichere Netzwerktopologien (z.B. durch Trennung der Netzwerksegmente via Router, Switch und VLANs) und den Einsatz von Paketfilter-Firewalls zur logischen Trennung kann man die Sichtweite eines potentiellen Sniffers stark einschränken. Um einen Sniffer im Netzwerk zu entdecken, fragt man an allen Linux-Rechnern des Netzwerkes den Status der Netzwerkkarte mit ifconfig ab. Bei Windows-Systemen ist das deutlich schwieriger mit Bordmitteln zu erkennen. Es gibt zudem auch AntiSniffer-Tools wie z.B. SniffDet (Freeware) und kommerzielle Produkte wie AntiSniff. Der Angreifer muss allerdings erst Zugriff zum Netzwerk haben. Wenn also durch Sicherheitsmaßnahmen wie Port-Security auf Switchen und/oder einer Authentifizierung im Netzwerk via RADIUS der Zugang zum System bereits erheblich erschwert ist und im besten Fall auch kein physikalischer Zugang zu den Systemen für Unauthorisierte besteht, ist hier schon eine erheblich höhere Hürde zu überwinden, bevor jemand die Schnüffelnase ins Netzwerk stecken kann.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.